SCSC03-DET#4
あるエンタープライズが AWS Organizations で 200 以上のアカウントを運用しており、セキュリティチームは組織全体で Amazon GuardDuty による脅威検出を運用負荷を抑えつつ有効化し、新規アカウントも自動的にカバーしたいと考えています。適切なアプローチを2つ選択してください。
2 つ選択してください
解説
【正解: A / B】の理由
GuardDuty を組織全体で効率よく運用する標準手法は、AWS Organizations の管理アカウントから GuardDuty の委任管理者アカウントを指定し(A)、その委任管理者で自動有効化(auto-enable)を構成して既存および新規のメンバーアカウントを一括オンボードすること(B)である。委任管理者を使うと、セキュリティチームは専用アカウントから組織全体の検出結果を集約・可視化でき、後から追加されたアカウントでも自動的に GuardDuty が有効化されるため、カバレッジの抜け漏れと運用負荷を最小化できる。GuardDuty は CloudTrail 管理イベント・VPC フローログ・DNS クエリログを裏側で自動取り込みし、機械学習と脅威インテリジェンスにより既知・未知の脅威を検出するマネージドサービスであり、ログ基盤を個別に構築する必要はない。
【他選択肢が違う理由】
- C: 各アカウントに個別ログインして手動で有効化する運用はアカウント数の増加で破綻し、新規アカウントの有効化漏れも生じるためスケールしない。
- D: AWS WAF はレイヤー7の Web リクエストをフィルタする防御サービスであり、アカウント横断で脅威を検出する GuardDuty の代替にはならない。
- E: CloudTrail は API 操作を記録するログサービスにすぎず、相関分析や機械学習ベースの脅威検出は行わないため GuardDuty の代わりにはならない。

コメント